La nouvelle loi sur les RPGD entre en vigueur aujourd'hui, le 25 mai 2018, et couvre la protection des données et la vie privée des citoyens de l'UE, mais elle s'applique également à de nombreux autres pays de différentes manières, et puisque tous les géants de la technologie sont d'énormes sociétés multinationales., cela affecte beaucoup de choses que vous utilisez quotidiennement.
Le problème que GDPR essaie de résoudre: les entreprises collectent et abusent de vos informations personnelles
Depuis le début de l'internet, les entreprises ont rassemblé autant de données que possible sur quiconque. C’est simple de collecter ces informations, il n’ya donc aucune raison pour qu’ils ne les conservent pas.
Le problème, c'est qu'au cours des dernières années, de nombreuses entreprises ont été appréhendées en train de ne pas protéger - ou de mal exploiter - vos informations personnelles. Le scandale Cambridge Analytica, dans lequel un chercheur a utilisé un questionnaire sur Facebook pour rassembler d'énormes quantités de données sur des millions d'utilisateurs de Facebook, puis l'a vendue à un cabinet de conseil, n'est que l'exemple le plus récent. Le piratage d'Equifax l'an dernier était particulièrement grave, car les informations divulguées pourraient être utilisées pour ouvrir des cartes de crédit. Et ce ne sont que les grands scandales. De nombreuses entreprises ont mal utilisé vos données de manière plus modeste, par exemple en les vendant à des agences de publicité tierces.
L'UE a eu une vision sombre de la situation et utilise le GDPR pour tenter de la rectifier. En vertu des nouvelles lois, les entreprises qui ne protègent pas correctement les données des consommateurs ou en abusent de quelque manière que ce soit encourt des amendes énormes.
Que sont les données personnelles considérées?
Le GDPR protège les «données personnelles», ce qui signifie ici «toute information relative à une personne physique identifiée ou identifiable» - et cette définition est assez large. En réalité, les données personnelles vont généralement inclure des éléments tels que:
- Données biographiques telles que votre nom, adresse, numéro de téléphone, numéro de sécurité sociale, etc.
- Données relatives à votre apparence physique et à votre comportement, telles que la couleur, la race et la taille de vos cheveux.
- Informations sur vos études et vos antécédents professionnels, telles que votre salaire, votre diplôme universitaire, votre moyenne pondérée cumulative, votre numéro d'identification fiscale, etc.
- Toute donnée médicale ou génétique.
- Des éléments tels que l'historique des appels, les messages privés ou les données de géolocalisation.
C'est loin d'être une liste complète. La clé est que toute donnée qui vous rend identifiable compte. Dans certaines circonstances, la couleur de vos cheveux peut suffire. Dans d’autres, même votre nom complet - s’il s’agit de quelque chose de commun comme Robert Smith - peut ne pas vous rendre identifiable.
Que fait le GDPR?
Le RGPD donne aux résidents de l’UE dont les données personnelles sont collectées - appelés «personnes concernées» dans la loi - huit droits. Elles sont:
- Le droit d'être informé: Si une entreprise recueille des données, elle doit indiquer aux personnes concernées ce qui est collecté, son utilisation, son utilisation, sa durée de conservation et son partage avec des tiers. Ces informations ne peuvent pas être enfouies profondément dans des conditions de service que personne ne lit. il doit être concis et en langage clair.
- Le droit d'accès: S'ils le demandent, toute organisation disposant de données à caractère personnel concernant une personne concernée doit les lui fournir dans un délai d'un mois.
- Le droit de rectification: Si une personne concernée découvre qu’une entreprise dispose de données incorrectes, elle peut demander qu’elle soit mise à jour. Les entreprises ont un mois pour s'y conformer.
- Le droit d'effacer: Une personne concernée peut demander à une entreprise de supprimer toute donnée détenue à son sujet dans certaines circonstances. Par exemple, si les données ne sont plus nécessaires ou s'ils retirent leur consentement pour pouvoir les utiliser.
- Le droit de restreindre le traitement: Si une organisation ne peut pas supprimer les données d’une personne concernée (par exemple, parce qu’elle en a besoin pour des raisons juridiques), elle peut demander à la société de limiter la manière dont elle est utilisée.
- Le droit à la portabilité des données: Les personnes concernées ont le droit de prendre leurs données personnelles d'un service et de les utiliser avec un autre.
- Le droit d'objecter: Si les données sont collectées sans consentement mais pour des intérêts commerciaux légitimes, pour le bien public ou par une autorité officielle, la personne concernée peut s'y opposer. L'organisation doit alors arrêter de traiter les données jusqu'à ce qu'elle puisse prouver qu'elle a des raisons légitimes de le faire.
- Droits liés à la prise de décision automatisée, y compris le profilage: Le RGPD met en place des garde-fous pour que les personnes puissent s’opposer aux explications relatives aux décisions automatisées qui les concernent, ainsi que leurs explications, sur leurs données.
Une autre partie importante de la réglementation est que les entreprises doivent avoir un motif légitime pour collecter ou traiter des données. L’une des raisons légales est qu’ils ont obtenu le consentement pour l’utiliser à des fins spécifiques, mais il en existe d’autres comme ils en ont besoin pour se conformer à des obligations légales ou que la collecte de ces informations est dans l’intérêt du public.
Comme vous pouvez le constater, les droits conférés aux résidents de l’UE par la loi sont assez larges et obligent les entreprises qui collectent des données à réfléchir réellement sur ce qu’elles collectent et pourquoi.Les vieux jours de collectionner tout ce qu’ils pouvaient et d’espérer qu’ils en trouveraient une utilisation plus tard sont révolus, du moins en Europe. C'est pourquoi pratiquement tous les services auxquels vous avez déjà fourni votre adresse électronique vous contactent.
Ce qui a beaucoup de sociétés en désaccord, c'est que les sanctions pour non-conformité au GDPR sont assez sévères. Une organisation peut être condamnée à une amende allant jusqu'à 20 millions d'euros ou 4% de son chiffre d'affaires annuel mondial (selon le montant le plus élevé) en vertu de la législation. Pour Amazon ou Google, par exemple, des amendes potentielles de plusieurs milliards de dollars sont imposées s’ils manipulent mal les données des résidents de l’UE.
Que signifie le GDPR pour les Américains?
Tout au long de cet article, nous nous sommes concentrés sur les droits que le GDPR accorde aux résidents de l’UE pour la simple raison qu’il s’agit d’une loi de l’UE. En fait, cela ne s'applique pas aux citoyens américains, à moins qu'ils ne résident également dans l'UE. La raison pour laquelle vous recevez tous les courriels est que la plupart des entreprises n'ont aucun moyen de dire qui est résident de l'Union européenne et qui n'est pas.
Cela ne signifie toutefois pas que le RGPD ne vous concernera pas. Cela a amené de nombreuses entreprises à réévaluer la manière dont elles traitent les données sur les consommateurs, et certaines d’entre elles ont commencé à parler de l’extension des droits GDPR aux résidents non européens. Et il est également plus simple pour les entreprises d'appliquer un ensemble unique de règles à tous les clients dans de nombreux cas.
Par exemple, Apple a lancé un nouveau portail sur la confidentialité permettant aux utilisateurs de télécharger toutes leurs données personnelles ou de supprimer leur compte, autrement dit de leur donner les droits d’accès et d’effacement. Pour le moment, seuls les comptes basés dans l'UE peuvent l'utiliser, mais Apple prévoit de le diffuser dans le monde entier au cours des prochains mois. De même, Facebook murmure à propos de donner les mêmes protections GDPR à certains utilisateurs en dehors de l'UE.
